Phishing เปรียบเหมือนการใช้เหยื่อล่อมาหลอกปลาให้กินเบ็ด บนโลกของอินเทอร์เน็ตเหยื่อล่อเป็นได้ทั้ง E-mail และ Website ซึ่งดูแล้วมีความน่าเชื่อถือราวกับว่ามาจากเจ้าของชื่อจริงๆ และมักจะขอให้พิสูจน์ข้อมูลเฉพาะบางอย่าง ผู้ที่โชคร้ายให้กับเหยื่อล่อเหล่านี้ก็จะถูกขโมยตัวตน หรือ Identity ไป
ช่วงกลางเดือนตุลาคมที่ผ่านมา ได้มีการสอบถามเกี่ยวกับเว็บปลอมของธนาคารกสิกรไทยจากพนักงานของธนาคารรวม ทั้งบุคคลภายนอก เว็บดังกล่าวใช้ชื่อว่า Kosikorn Bank ซึ่งใกล้เคียงกันมากกับชื่อเว็บ Kasikorn Bank ของธนาคาร ต่างกันแค่ตัว “o” กับตัว “a” เท่านั้น ซึ่งถ้าไม่สังเกตจะไม่รู้เลยว่ามีความแตกต่างกัน
เหตุการณ์เริ่มจากคนร้ายปลอมอีเมล์ส่งไปทั่วอินเทอร์เน็ต เนื้อหาอ้างถึงมาตรการของธนาคารกสิกรไทยขอความร่วมมือในการตรวจสอบบัญชี พร้อมกับส่งลิงก์ www.kosikorn.com เพื่อหลอกลูกค้าให้เข้าไปยังเว็บไซต์ที่ปลอมขึ้น นอกจากนี้ ยังมีหน้าตาเหมือนกับเว็บไซต์ของธนาคารกสิกรไทย คุณประยุทธ ตัณฑ์ศรีสุวรรณ ผู้อำนวยการฝ่ายอาวุโสของ K-Payment Gateway ได้ชี้ถึงจุดที่ผิดปกติของอีเมล์ปลอมดังนี้คือ ข้อความที่เขียนใช้ภาษาพูดเช่นมีเครื่องหมายตกใจ มีคำสะกดผิด และภาษาที่ใช้ไม่ถูกต้องตามหลักไวยากรณ์ ดังตัวอย่าง
เว็บไซต์ ปลอมหรือเว็บ Kosikorn Bank ในหน้าแรกจะมีเมนู Drop Down เพื่อให้เลือกบริการ K-Cyber Banking จากนั้นเว็บปลอมจะส่งลูกค้าไปยังหน้าที่ใส่ข้อมูล ID กับ Password พอเข้าสู่ระบบลูกค้าจะต้องใส่รหัส PIN อีกสองครั้งสำหรับ Password และ Security Password ซึ่งมีไว้สำหรับทำรายการที่มีความเสี่ยงอย่างการโอนเงินไปยังบุคคลที่สาม เมื่อใส่รหัสเรียบร้อย เว็บปลอมก็จะส่งลูกค้ากลับไปยังเว็บของธนาคารกสิกรไทย เท่านี้ผู้ร้ายก็มีข้อมูลที่ใช้ทำรายการของลูกค้าเพื่อโอนเงินออกจากบัญชีไป ยังที่ที่คนร้ายสามารถรับเงินได้
เหยื่อที่โดนไม่ ได้มีเพียงแค่กลุ่มคนที่มีเงินอยู่ในบัญชีเท่านั้น ผู้ร้ายยังส่งอีเมล์โดยอ้างว่าเป็นบริษัทต่างประเทศทำธุรกิจโอนเงิน ต้องการรับสมัครตัวแทนในประเทศไทยเพื่อร่วมธุรกิจ มีรายได้และผลตอบแทนแบ่งเป็นเปอร์เซ็นต์ แต่เงื่อนไขการรับสมัครคือ ต้องมีบัญชีของธนาคารกสิกรไทยและส่งบัตร ATM ให้กับตัวแทนของบริษัท เนื่องจากอีเมล์ดูมีความน่าเชื่อถือ เหยื่อที่โดนหลอกจึงได้ส่งบัตร ATM ให้กับคนร้ายไป กลุ่มที่โดนหลอกทางสมัครงานมีทั้งคนที่เรียนจบใหม่ไปจนถึงระดับรากหญ้า รวมทั้งชาวต่างชาติ
ขณะ ที่เหยื่อกลุ่มแรกโดนหลอกเอาข้อมูลเพื่อโอนเงินออกจากบัญชีผ่านเว็บไซต์ กลุ่มที่สองก็โดนหลอกเอาบัตร ATM ทำให้ตกเป็นผู้ต้องสงสัยแทนคนร้ายเพราะเงินได้ถูกโอนมายังบัญชีของเหยื่อ ส่วนคนร้ายจะไปรับเงินจากบัญชีผ่านตู้กดเงิน คุณประยุทธได้เปิดเผยว่าจากการติดตามบัตร ATM ของผู้เสียหาย กล้องวงจรปิดในตู้ ATM สามารถจับภาพคนร้ายขณะถอนเงินเป็นชาวต่างชาติที่ไม่ได้มีภาษาเกิดเป็นภาษา อังกฤษ
ทั้งนี้ จากการสอบปากคำผู้ที่ได้รับความเสียหาย ทุกรายไม่เคยเปลี่ยนพาสเวิร์ดและไม่ได้สนใจอ่านอีเมล์ รวมทั้งคำแนะนำการใช้งานอย่างปลอดภัย กลุ่มที่เสียหายไม่ได้ติดต่อเข้ามา ยกเว้นรายที่สงสัยได้ติดต่อกลับมาที่ธนาคารซึ่งปรากฏว่าลูกค้าเหล่านี้รอด จากการตกเป็นเหยื่อเพราะทำตามคำแนะนำของธนาคารโดยติดต่อเข้ามาภายใน 24 ชั่วโมง สิ่งที่ธนาคารทำคือ Reset ตัวเลขของ PIN ทั้งสองตัว เสร็จแล้วแนะนำให้ลูกค้าเปลี่ยนมาใช้บริการ OTP ของธนาคารกสิกรไทย ซึ่งเปิดให้เลือกใช้ก่อนหน้าที่จะเกิดการ Phishing เพียงแต่ลูกค้าไม่ได้ใช้ รวมทั้งแจ้งเตือนบนเว็บกสิกรไทยเป็นตัวหนังสือสีแดง
บริการ OTP มีข้อดีคือ ผู้ใช้ไม่ต้องจำรหัส PIN เพราะเป็น Dynamic PIN โดยหลังจากที่ลูกค้าใส่ Static Password ผ่านหน้าเว็บ www.kasikornbank.com ระบบจะส่ง PIN มายังโทรศัพท์มือถือ บริการนี้ประยุกต์เทคโนโลยีที่เรียกว่า Two factor authentication ซึ่งมีแนวความคิดในการตรวจสอบแบบ “something you know & something you have” คุณประยุทธบอกว่าโอกาสที่คนร้ายจะได้รหัสไปจากวิธีนี้เป็นไปได้ยาก เพราะต้องมีมือถือของเจ้าของบัญชีด้วย ถ้าคนร้ายแอบเอา Static Password ไปใช้งาน รหัสจะส่งมาที่มือถือของลูกค้า ทำให้สามารถแจ้งธนาคารเพื่อตรวจสอบ IP Address และ User ID ของคนร้ายได้
